Egyszeri bejelentkezés beállítása a Microsoft Entra ID használatával a Spring Cloud Gatewayhez és az API Portalhoz
Ez a cikk a következőre vonatkozik:❌ Basic/Standard ✔️ Enterprise
Ez a cikk bemutatja, hogyan konfigurálhatja az egyszeri bejelentkezést (SSO) a Spring Cloud Gatewayhez vagy az API Portalhoz a Microsoft Entra ID-val OpenID azonosító szolgáltatóként.
Előfeltételek
- Vállalati csomagpéldány, amelyen engedélyezve van a Spring Cloud Gateway vagy az API Portal. További információ : Rövid útmutató: Alkalmazások létrehozása és üzembe helyezése az Azure Spring Appsben a Nagyvállalati csomag használatával.
- Megfelelő engedélyek a Microsoft Entra-alkalmazások kezeléséhez.
Az egyszeri bejelentkezés a Spring Cloud Gatewayhez vagy az API Portalhoz való engedélyezéséhez a következő négy tulajdonságot kell konfigurálnia:
Egyszeri bejelentkezés tulajdonság | Microsoft Entra konfiguráció |
---|---|
clientId | Lásd: Alkalmazás regisztrálása |
clientSecret | Lásd: Ügyfélkód létrehozása |
hatálya | Lásd: Hatókör konfigurálása |
issuerUri | Lásd: Kiállítói URI létrehozása |
A tulajdonságokat a Következő lépésekben konfigurálhatja a Microsoft Entra-azonosítóban.
Végpont hozzárendelése a Spring Cloud Gatewayhez vagy az API Portalhoz
Először le kell szereznie a hozzárendelt nyilvános végpontot a Spring Cloud Gatewayhez és az API Portalhoz az alábbi lépések végrehajtásával:
- Nyissa meg a nagyvállalati csomagszolgáltatás-példányt az Azure Portalon.
- A bal oldali menüben válassza a Spring Cloud Gateway vagy az API Portallehetőséget a VMware Tanzu-összetevők alatt.
- Válassza a Végpont hozzárendelése mellett az Igen lehetőséget.
- Másolja ki a cikk következő szakaszában használt URL-címet.
Microsoft Entra-alkalmazásregisztráció létrehozása
Regisztrálja az alkalmazást, hogy megbízhatósági kapcsolatot létesítsen az alkalmazás és a Microsoft Identitásplatform között az alábbi lépések végrehajtásával:
- A kezdőképernyőn válassza a Microsoft Entra-azonosítót a bal oldali menüből.
- Válassza az Alkalmazásregisztrációk lehetőséget a Kezelés területen, majd válassza az Új regisztráció lehetőséget.
- Adja meg az alkalmazás megjelenítendő nevét a Név területen, majd válasszon ki egy fióktípust, amelyet a támogatott fióktípusok között szeretne regisztrálni.
- Az Átirányítási URI -ban (nem kötelező) válassza a Web lehetőséget, majd írja be a szövegmező fenti szakaszának URL-címét. Az átirányítási URI az a hely, ahol a Microsoft Entra ID átirányítja az ügyfelet, és biztonsági jogkivonatokat küld a hitelesítés után.
- Az alkalmazás regisztrálásának befejezéséhez válassza a Regisztráció lehetőséget.
Amikor a regisztráció befejeződik, az alkalmazás (ügyfél) azonosítója megjelenik a Alkalmazásregisztrációk* lap Áttekintés képernyőjén.
Átirányítási URI hozzáadása alkalmazásregisztráció után
Az átirányítási URI-kat az alkalmazásregisztráció után is hozzáadhatja az alábbi lépések végrehajtásával:
- Az alkalmazás áttekintésében a bal oldali menü Kezelés területén válassza a Hitelesítés lehetőséget.
- Válassza a Web lehetőséget, majd az Átirányítási URI-k alatt válassza az URI hozzáadása lehetőséget.
- Adjon hozzá egy új átirányítási URI-t, majd válassza a Mentés lehetőséget.
További információ az alkalmazásregisztrációról: Rövid útmutató: Alkalmazás regisztrálása a Microsoft Identitásplatform.
Titkos ügyfélkód hozzáadása
Az alkalmazás egy ügyfélkulcs használatával hitelesíti magát az egyszeri bejelentkezés munkafolyamatában. Az ügyfél titkos kódjának hozzáadásához kövesse az alábbi lépéseket:
- Az alkalmazás áttekintésében a bal oldali menü Kezelés területén válassza a Tanúsítványok > titkos kódok lehetőséget.
- Válassza az Ügyfél titkos kulcsok lehetőséget, majd válassza az Új ügyfélkulcs lehetőséget.
- Adja meg az ügyfél titkos kódjának leírását, majd adjon meg egy lejárati dátumot.
- Válassza a Hozzáadás lehetőséget.
Figyelmeztetés
Ne felejtse el biztonságos helyre menteni az ügyfél titkos kulcsát. A lap elhagyása után nem kérhető le. Az ügyfél titkos kódját az alkalmazásként való bejelentkezéskor meg kell adni az ügyfélazonosítóval.
Hatókör konfigurálása
Az scope
egyszeri bejelentkezés tulajdonsága a JWT-identitásjogkivonatokban szerepeltetni kívánt hatókörök listája. Ezeket gyakran engedélyeknek nevezik. Az identitásplatform számos OpenID-Csatlakozás hatókört támogat, például openid
a . email
profile
További információ: OpenID Csatlakozás Hatókörök és engedélyek szakasz a Microsoft Identitásplatform.
Kiállítói URI konfigurálása
A kiállító URI-ja az a URI, amelyet a kibocsátó azonosítójaként kell érvényesíteni. Ha például a megadott kiállító-uri, https://example.com
akkor a rendszer egy OpenID-szolgáltató konfigurációs kérését küldi el a következőhöz https://example.com/.well-known/openid-configuration
: .
A Microsoft Entra-azonosító kiállítói URI-ja hasonló <authentication-endpoint>/<Your-TenantID>/v2.0
. Cserélje le <authentication-endpoint>
a felhőkörnyezet hitelesítési végpontját (például https://login.microsoftonline.com
globális Azure-ra), és cserélje le <Your-TenantID>
az alkalmazást regisztráló címtár-(bérlői) azonosítóra.
Egyszeri bejelentkezés konfigurálása
A Microsoft Entra-alkalmazás konfigurálása után az alábbi lépések végrehajtásával állíthatja be a Spring Cloud Gateway vagy az API Portal SSO-tulajdonságait:
- A bal oldali menüben válassza a Spring Cloud Gateway vagy az API Portallehetőséget a VMware Tanzu-összetevők alatt, majd válassza a Konfiguráció lehetőséget.
- Adja meg a
Scope
,Client Id
,Client Secret
ésIssuer URI
a megfelelő mezőket. Több hatókör elkülönítése vesszővel. - Válassza a Mentés lehetőséget az egyszeri bejelentkezés konfigurálásának engedélyezéséhez.
Feljegyzés
Az egyszeri bejelentkezés tulajdonságainak konfigurálása után ne felejtse el engedélyezni az egyszeri bejelentkezést a Spring Cloud Gateway-útvonalakhoz a beállítással ssoEnabled=true
. További információ: útvonalkonfiguráció.
Következő lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: